CPPA:将个人信息传输给服务提供商

消费者隐私保护法 (CPPA)将对加拿大的隐私法做出重大修改。如前所述 先前,该法案包括了 Personal Information Protection 和 Electronic Documents Act (PIPEDA),还有更多。 In some cases, it builds on the provisions of 皮派达, on the guidance 和 decisions 的 Commissioner, but includes changes designed either to clarify or change the law. A case in point are the very important new provisions which 地址 transfers of personal information to 服务提供者s.

根据PIPEDA处理的转移

Many organizations provide third parties with personal information to help them carry on their businesses. 的 organizations obtain consents from individuals for those uses, but not for the myriad of transfers relied on to fulfill the purposes for which the consents are obtained. 的 practice is pervasive including everything from payment processing, cloud 和 SAAS service solutions, business processing, 和 IT outsourcing. Given our integrated economy, especially with the United States, trans-national transfers of personal information take place all the time.

皮派达允许转移个人信息以进行处理,包括跨国界处理。它根据CSA规范规则的原则4.1.3中的问责制原则处理此类转移。

4.1.3 组织应对其拥有或保管的个人信息负责,包括已转移给第三方进行处理的信息。在第三方处理信息时,组织应使用合同或其他方式提供类似级别的保护。

多年来,OPC在其投诉调查中发现了许多与个人信息传输有关的发现。在其2009年 跨境处理个人数据的准则 它总结了对PIPEDA的解释如下:

  • 皮派达不禁止加拿大的组织将个人信息转移到另一个司法管辖区的组织进行处理。
  • 皮派达确实建立了管理处理转移的规则。
  • 处理转移是信息的“使用”。这不是一个披露。假设该信息正用于最初收集的目的,则无需额外同意。
  • 转移组织应对其所转移到的组织手中的信息负责。
  • 组织必须保护处理者手中的个人信息。实现这一目标的主要手段是通过合同。
  • No contract can override the criminal, national security or any other laws 的 国家 to which the information has been transferred.
  • It is important for organizations to assess the risks that could jeopardize the integrity, security 和 confidentiality of customer personal information when it is transferred to third-party 服务提供者s operating outside of Canada.
  • Organizations must be transparent 关于 their personal information handling practices. This includes advising customers that their personal information may be sent to another jurisdiction for processing 和 that while the information is in another jurisdiction it may be accessed by the courts, law enforcement 和 national security authorities.

的 Guideline has been consistently applied by the OPC, with the exception of during a short period during which the Commissioner re-interpreted transfers of personal information as disclosures 和 not uses thus requiring consents for such transfers. See, 巴里·索克曼, OPC关于跨境数据流的咨询:我对咨询的提交,巴里·索克曼(Barry Sookman), OPC放弃跨境传输数据咨询.

皮派达没有定义“可比的保护水平”。 《 2009年指南》做了如下解释:

“可比较的保护级别”是指第三方处理器必须提供可以与个人信息(如果尚未转移)将获得的保护级别相比的保护。这并不意味着所有保护都必须相同,而是意味着它们通常应该等效。

当PIPEDA或其至少某些规定适用于服务提供商时,如果其使用的个人信息仅限于代表转让方进行处理,则PIPEDA保持沉默。 OPC中的 Equifax 在不对该问题进行任何分析的情况下,做出的一项决定是,安全保障原则适用于服务提供商,而与服务提供商对转让方的义务无关。

“可比的保护水平”原则在实践中提出了许多挑战。转移组织通常具有与服务提供商不同的隐私标准。一些顶级的国家级组织具有很高的标准,而小型服务提供商通常具有符合PIPEDA的标准,但不如其所有客户那样高。相反,许多顶级服务提供商具有非常严格的安全保护措施,在某些情况下甚至比其客户更高。 Equifax决定通过提出以下问题而使分析复杂化:是否还有其他PIPEDA义务适用于处理者,如果适用,如何将这些义务与其作为处理者的地位而不是(使用GDPR话语)作为控制者(个人)相协调负责选择如何使用个人信息。

根据PIPEDA向服务提供商转移

的 CPPA continues to 地址 transfers of personal information under the accountability principle. But, it does so in importantly different ways.

什么是服务提供商

CPPA引入了新的术语“服务提供商”来代替处理器的概念。根据CPPA

服务提供者 指一个组织,包括母公司,子公司,关联公司,承包商或分包商,为另一个组织或代表另一个组织提供服务以协助该组织实现其目的。服务中心)。

目前尚不清楚为什么CPPA没有继续使用术语“处理器”。该术语具有很好的含义,例如在 GDPR 该定义将其定义为“代表控制人处理个人数据的自然人或法人,公共权力机构,机构或其他机构”。虽然“为另一个组织或代表另一个组织提供服务以帮助该组织实现其目标的人”将成为处理者,但不确定每个服务提供商是否一定会成为“处理者”,尽管得出结论是合乎逻辑的这就是CPPA的意图。还有许多其他未提及的关系,例如专业组织和为组织提供服务的代理商。值得怀疑的是,有一个原则上的原因来区分处理器和服务提供商。 术语“分包商”的使用也模棱两可。它可能旨在引用“分处理器”,但也可能引用承包商与分包商之间的关系。

个人信息的转移不需要新的同意

根据PIPEDA的规定,无需进行新的同意就可以转让个人信息进行处理。现在,S.19编纂了PIPEDA的现有实际解释,并指出:

转移到服务提供商

19 组织可以在不知情或未经其同意的情况下将个人的个人信息转移给服务提供商。

转移的个人信息的保护级别

Under the s.7(1) 的 CPPA, an organization is accountable for personal information that is under its control. Under s.7(2) personal information is under the control 的 organization that decides to collect it 和 that determines the purposes for its collection, use or disclosure, regardless of whether the information is collected, used or disclosed by the organization itself or by a 服务提供者 on behalf 的 organization.

CPPA不同于PIPEDA,它规定了转移组织必须向服务提供商要求的保护级别。该标准在第11条中列出。

相同的保护

11 (1) 如果组织将个人信息转移给服务提供商,则该组织必须通过合同或其他方式确保服务提供商对个人信息的保护与该组织根据本法案要求提供的保护基本相同。

可以看出,根据第11条第(1)款,CPPA要求服务提供商提供PIPEDA要求转移组织提供的保护级别,而不是“可比较的保护级别”。问责制原则的这种表述可能表明服务提供商必须遵守PIPEDA安全保障义务。这将是与“相同保护”标题一致的一种解释。但是,目前尚不清楚是否存在某些情况,要求转让组织因其与他人的关系或与个人的关系而达到不同的标准。服务提供商,尤其是那些处理大量敏感个人信息的服务提供商,可能也是如此。在实践中,可能创建双重标准可能会使向多方提供相同服务的服务提供商长期存在问题。

的 CPPA also clarifies the obligations 服务提供者s have under the CPPA, separate 和 apart from their contractual obligations to the transferring organization. Under s.11(2) the only obligations of 服务提供者s under the CPPA for personal information that is transferred 和 only used for the purposes provided are those in ss. 57 和 61.[1]

S.57 deals with security safeguards. Thus, under the CPPA both the transferring organization 和 the 服务提供者 have the following independent obligations:

安全保障

57 (1) An organization must protect personal information through physical, organizational 和 technological security safeguards. 的 level of protection provided by those safeguards must be proportionate to the sensitivity 的 information.

要考虑的因素

(2) In addition to the sensitivity 的 information, the organization must, in establishing its security safeguards, take into account the quantity, distribution, format 和 method of storage 的 information.

安全保障范围

(3) 的 security safeguards must protect personal information against, among other things, loss, theft 和 unauthorized access, disclosure, copying, use 和 modification.

尚不清楚为什么CPPA的结构可能会对服务提供商施加两种潜在的保障标准。第11条第(1)款中的第一条,“对个人信息的保护与根据本法规定该组织必须提供的保护基本相同”;第二,是第57条规定的普遍适用的安全保障标准。在这方面,CPPA没有遵循或明确遵循GDPR。根据GDPR第28条的规定,“应代表控制者进行处理,控制者应仅使用提供足够保证的处理者来实施适当的技术和组织措施,以使处理符合本法规的要求,并确保保护数据主体的权利。”第32条对处理者施加了相同的独立标准,其中要求“控制者和处理者应采取适当的技术和组织措施,以确保适合风险的安全水平”,其中包括一些具体列举的措施。

违反安全性的通知

CPPA的S.61增加了PIPEDA中未明确包括的一项新义务,要求服务提供商将违反安全防护措施的情况通知组织:

服务供应商

61 如果服务提供商确定发生了涉及个人信息的违反安全保护措施的行为,则必须尽快将控制该个人信息的组织通知组织。

This obligation, which also exists under 文章 33.2 的 GDPR, is necessary because s.58 的 CPPA also includes the 皮派达 requirements for organizations to provide notices to individuals 和 the OPC of breaches of security safeguards.

CPPA对于服务提供商承担的维护违反安全保障措施的记录(以服务提供商的角色)的义务保持沉默。 CPPA的S.60规定各组织有义务“保持和维护涉及其控制下的个人信息的每项违反安全保障措施的记录”和“应要求,向专员提供访问或复制记录的义务” ”。由于转移到服务提供商的个人信息仍受转移组织的控制,因此与服务提供商签约的组织将必须继续要求他们保留并维护此类记录,以便组织可以遵守CPPA。

跨境数据流

的 CPPA continues to permit organizations to transfer personal information to other countries for processing. 的 new law will codify the OPC Guidance which requires organizations to be transparent 关于 such practices. This obligation is contained in s.62 which states:

Policies 和 practices

62 (1) An organization must make readily available, in plain 语言, information that explains the organization’s policies 和 practices put in place to fulfil its obligations under this Act.

附加信息

(2) 为了履行第(1)款规定的义务,组织必须提供以下信息……

(d) 该组织是否进行了可能合理地预见到隐私隐患的国际或省际个人信息转移或披露;

的 CPPA does not adopt the GDPR requirements for adequacy or formalities such as the use of contractual clauses before transfers can be legally effective. However, it accomplishes the intended goal of maintaining adequate standards of protection by the more practical 和 flexible requirements that the 服务提供者, by contract or otherwise, provide the level of protection that the transferring organization is required to provide 和 by making the 服务提供者 expressly fall under the potentially extra-territorial security safeguards provisions 的 CPPA.[2]

服务提供商面临的新风险

的 CPPA contains substantively new enforcement powers for the OPC 和 the new Personal Information 和 Data Protection Tribunal established under section 4 的 Personal Information 和 Data Protection Tribunal Act.‍ As 服务提供者s are now expressly required to comply with the security safeguards provisions 的 CPPA, they can expect to be subject to similar investigative 和 enforcement measures that apply to other organizations, as they relate to compliance with their obligations under ss.57 和 61 的 CPPA. 的se will now include being potentially subject to:

  • complaints launched by individuals 和 investigated by the Commissioner under ss.82-93;
  • 根据第96条审核其个人信息管理惯例;
  • 专员根据第92(2)条发出的遵守命令;
  • 仲裁庭施加的罚款最高为$ 10,000,000 and 3% 的 organization’s gross global revenue in its financial year before the one in which the penalty is imposed under s.94(4); 和
  • 因违反《消费品保护法》第57或61条而受到个人或潜在阶层的诉讼所造成的损害赔偿,该损失是由于个人(或阶层)因违反第106(1)条而遭受的损失或伤害。

的 CPPA has not yet been referred a Parliamentary committee 和 the 服务提供者 provisions will likely be amended before the bill is enacted, at the very least to 地址 ambiguities. It is also likely that there will be a period between when the bill is given royal assent 和 when it is proclaimed into force. Given the proposed changes in the law, organizations which use 服务提供者s, 和 服务提供者s, may want to start reviewing their processes, agreements 和 templates 和 building processes 和 terms that will permit compliance once the law is in effect.

本文最初发布于 www.barrysookman.com.

______________________________

[1] 服务提供商义务:11(2) 本部分规定的义务(本节中规定的除外) 57 and 61, do not apply to a 服务提供者 in respect of personal information that is transferred to it. However, the 服务提供者 is subject to all 的 obligations under this Part if it collects, uses or discloses that information for any purpose other than the purposes for which the information was transferred. Also, under s 55(3) “If an organization disposes of personal information, it must, as soon as feasible, inform any 服务提供者 to which it has transferred the information 的 individual’s request 和 obtain a confirmation from the 服务提供者 that the information has been disposed of.”

[2] 根据安全性的普遍适用要求,跨寄宿制传输个人信息以进行处理的权利看来也要遵守 第19.11条(通过电子方式进行信息的跨境转移)加拿大-美国-墨西哥协议(CUSMA) which states: 1. No Party shall prohibit or restrict the cross-border transfer of information, including personal information, by electronic means if this activity is for the conduct 的 business of a covered person. 2. This 文章 does not prevent a Party from adopting or maintaining a measure inconsistent with paragraph 1 that is necessary to achieve a legitimate public policy objective, provided that the measure: (a) is not applied in a manner which would constitute a means of arbitrary or unjustifiable discrimination or a disguised restriction on trade; 和 (b) does not impose restriction. See also 文章 14.11 的 中华映管.

s

订阅

保持联系

Get the latest posts from this 博客

Please enter a valid 电子邮件 地址